IT-Frontal

Leider ist die Verwendung von IP-Sperrlisten und IP-Throttling nur ein bedingt wirksamer Schutz vor Kommentarspam, da die meisten Spam-Bot-Programme sehr raffniniert und unter Vortäuschung falscher IP-Adressen und Ausnutzung offener Proxy-Server die tatsächliche Herkunft verschleiern und mit oft wechselnden IP-Adressen agieren.

Spamschutz ist daher - leider - immer auch ein Hase-und-Igel-Rennen, bei dem die Webmaster effektive Schutzmaßnahmen austüfteln und die Spammer versuchen, diese Schutzmechanismen mit Hilfe von Spamprogrammen zu umgehen bzw. auszuhebeln. Genau an diesem Punkt sollte aber ein effektiver Spamschutz ansetzen: Spam-Bots sind Programme oder Skripte und keine hochintelligenten Lebewesen. Spam-Bots arbeiten nach einem bestimmten Schema und gehen von bestimmten Voraussetzungen aus. Verändert ein Webmaster eine oder mehrere dieser Variablen, lässt sich ein Spam-Schutz erheblich verbessern. Ansatzpunkte gibt es einige:

• Verändern Sie den Namen des Kommentar-Skripts Ihrer Weblog-Software. Bei Movable Type trägt das Kommentar-Skript standardmässig den Namen mt-comments.cgi. Mittels der Konfigurationsdatei mt.cfg kann dieser Name allerdings beliebig geändert werden. So können Sie Ihr Kommentar-Skript beispielweise in xyz.cgi umbenennen und den Wert dann einfach in Ihrer Konfigurationsdatei entsprechend anpassen.

• Erzwingen Sie eine Kommentar-Vorschau. Viele Spam-Bots arbeiten unter der Annahme, dass Kommentare unmittelbar durch das standardmässige Kommentarfeld eingegeben werden und direkt in dem Weblog erscheinen. Die meisten Weblog-Plattformen erlauben dem Webmaster allerdings, dass dieser Prozess durch eine erzwungende Kommentarvorschau unterbrochen wird. Hierzu müssen Sie allerdings Ihre Templates anpassen und sollten über fortgeschrittene HTML-Kenntnisse verfügen. In der Regel gibt die Dokumentation Ihrer Weblog-Software Auskunft über die notwendigen Arbeitsschritte bzw. die optionalen Einstellungen.

• Verwendung von CAPTCHA, Sicherheits-Codes oder Kommentar-Fragen. "CAPTCHA" ist die Abkürzung für Completely Automated Public Turing-Test to Tell Computers and Humans Apart - ein Test, um zu entscheiden, ob das Gegenüber ein Mensch oder ein Computerprogramm ist. Für alle weit verbreiteten Weblog-Plattformen gibt es inzwischen Erweiterungen bzw. Plugins, die mit Hilfe des Captcha-Verfahrens Buchstaben-Zahlen-Kombinationen erzeugen, die optisch so verfremdet sind, dass sie zwar vom menschlichen Auge aber nicht von Computern entziffert werden können. Nur durch Eingabe dieser Code-Kombination in ein zusätzliches Eingabefeld kann ein Kommentar abgeschickt werden. CAPTCHA-Lösungen auf Plugin-Basis sind meist relativ einfach zu installieren, erfordern allerdings eine Modifikation der Kommentar-Templates. Plugins wie SCode für Movable Type sind allerdings sehr gut dokumentiert. Ein Nachteil von CAPTCHA ist, dass der Code beispielsweise für blinde Nutzer eine unüberwindbare Hürde darstellt. Alternativ zu CAPTCHA können Kommentar-Fragen verwendet werden, deren korrekte Beantwortung ähnlich der Sicherheitscodeabfrage einen Kommentar gestattet. Sicherheitsfragen können vielfältig formuliert werden: "Das Gegenteil von kalt ist: ...." oder "Die Hauptstadt von Deutschland ist: ......"

• Kommentarmoderierung und Registrierung. Diverse Weblog-Plattformen bieten die Möglichkeit der Moderierung von Kommentaren. Hierbei werden Kommentare nicht sofort in dem Weblog angezeigt, sondern nachträglich durch den Webmaster freigeschaltet. Optional kann eine Moderierung auch mit einer Registrierung verknüpft werden, indem beispielsweise registrierte Kommentatoren sofort kommentieren dürfen und Kommentare von nicht-registrierten Nutzern erst zeitverzögert freigegeben werden. Six Apart beispielsweise verwendet für eine Registrierung den offenen Authentifizierungsdienst TypeKey.

• Spamschutz durch Blacklists. Blacklist-Plugins verwalten in der Regel eine Liste von IP-Adressen, Email-Adressen, URLs und regulären Ausdrücken bzw. Schlüsselwörtern, mit denen Spam-Kommentare automatisch identifiziert werden können. Diese Liste wird entweder zentral oder dezentral verwaltet und kann jederzeit aktualisiert werden. Ein sehr populärer Blacklist-Filter ist MT-Blacklist für Movable Type von Jay Allen, auf dessen Filterliste auch Plugins für andere Weblog-Systeme zurückgreifen.

Ein wirksamer Schutz vor Kommentarspam ergibt sich aus einer Kombination der hier genannten möglichen Maßnahmen.

Abschließend möchte ich darauf hinweisen, dass einige Webmaster durch Methoden wie einem kreativen Einsatz von .htaccess und Apaches mod_rewrite relativ zuverlässigen Spamschutz dadurch gewährleisten, dass sie das jeweilige Kommentar-Skript vor automatisierten Zugriffen von aussen schützen. Auch wenn es wohl nur eine Frage der Zeit ist, bis Spam-Bots auch diesen Schutz aushebeln werden, möchte ich diese Methode hier nicht im Detail erklären, um Spam-Bot-Autoren die Arbeit nicht unnötig zu erleichtern.

Heiko Hebig, Six Apart